Hardening Guide - Rancher v2.3.3+

《Hardening Guide - Rancher v2.3.3+》文档主要提供了Rancher Kubernetes Engine（RKE）在Kubernetes 1.14、1.15和1.16版本上的配置和加固指南。以下是文档的核心内容和关键信息总结： 1. **RKE配置**： - **认证与授权**： - 使用x509认证策略。 - 特定版本中支持SSH代理认证（默认禁用）。 - **容器运行时**： - 指定Docker根目录为`/var/lib/docker`。 - 忽略Docker版本检查。 2. **集群配置**： - **默认设置**： - 使用限制型Pod安全策略模板。 - 禁用了集群告警、监控和网络策略（部分版本中有例外）。 - 配置本地集群身份验证端点。 - **节点角色**： - 定义了多台节点，角色包括"controlplane"、"etcd"和"worker"。 - 节点地址和内部地址信息提供了具体的IP配置。 3. **安全性**： - **证书和加固**： - 确保etcd组和用户ID已预先创建。 - 特定版本中启用了特性门控，如`RotateKubeletServerCertificate`。 - **SSL/TLS配置**： - 列出了支持的TLS cipher suites。 4. **网络配置**： - **插件选择**： - 支持Calico、Flannel和Canal插件。 - Flannel和Canal的网络接口配置可选，例如`eth1`。 - **网络策略**： - 根据云提供商（如AWS）可选择不同的网络提供商。 5. **Ingress配置**： - **控制器设置**： - 仅支持Nginx Ingress提供商。 - 可通过`node_selector`指定Ingress控制器运行的节点。 6. **监控和日志**： - **监控提供商**： - 默认使用metrics-server。 - **日志配置**： - 提供了日志路径和保留策略。 7. **服务配置**： - **kube-api和kube-controller**： - 配置了服务集群IP范围和cluster CIDR。 - **kubelet设置**： - 指定了集群域名和DNS服务器地址。 - **etcd备份**： - 启用了定时备份（每12小时），保留6次备份。 8. **功能特性**： - 特定版本中启用了Kubelet Server证书轮转功能。 这份指南为Rancher环境中的Kubernetes集群部署提供了全面且安全的配置建议，涵盖了从认证到网络、监控的多个关键方面。